El uso de la identidad digital le permite a los individuos acceder a diferentes servicios sin necesidad de presentarse físicamente, por lo cual facilita la adopción de nuevos servicios, y mejora la cobertura de servicios existentes. Sin embargo existen aún algunas limitaciones asociadas a la seguridad, la privacidad y a la comodidad del usuario en los procesos de identificación digital. En este documento hablaremos de la identidad descentralizada, y de algunos enfoques basados en esta que buscan acelerar la adopción de la identidad digital.
La mayoría de servicios digitales requieren que el usuario se identifique. Si este es el caso, se requiere como paso previo que el usuario se enrole, es decir que cree una cuenta, la cual incluye un nombre de usuario y una contraseña. Este proceso se repite por cada servicio digital al cual el usuario quiera acceder, por lo cual es usual que contemos con una cuenta para el correo electrónico, otra para un periódico digital, otra para una tienda electrónica, y así sucesivamente. Esta multiplicación de identidades es bastante engorrosa, no solamente por la necesidad de recordar un número elevado de contraseñas y los riesgos de seguridad que conlleva, sino porque obliga al usuario a identificarse repetidamente.
El hecho de que un usuario deba identificarse para cada servicio indica que el contexto en el que puede hacer uso de su identidad digital es muy pequeño, generalmente asociado a un servicio en específico como puede ser una tienda electrónica o un periódico digital. Si bien esto puede ser deseable para el usuario en algunos casos, se ha argumentado que esta fragmentación de la identidad digital restringe la capacidad de relacionar diferentes servicios digitales, limitando la capacidad de generar nuevos servicios que pueden ser de interés para los usuarios, es decir, pone trabas en el desarrollo del mercado digital [EUB2019]. Adicionalmente, la fragmentación de la identidad digital lleva a que las empresas utilicen técnicas de seguimiento en las que el usuario tiene muy poco o ningún control sobre su información [RID2020].
Este escenario, en el que cada servicio enrola a un usuario, luego le exige presentar sus credenciales, y posteriormente le da acceso al servicio digital es lo que se conoce como identidad centralizada. Es decir las credenciales de la identidad digital del usuario para cada contexto específico reposan en cada servicio.
Identidad descentralizada
La identidad descentralizada busca que un usuario digital pueda identificarse ante un servicio de identificación, y a través de este acceder a todo tipo de servicios digitales. Es decir, es un escenario en el que se separa el rol del ente que identifica y del que ofrece el servicio. Por lo tanto, bajo un esquema de identidad descentralizada un usuario se identificaría una sola vez ante un servicio de identificación, y usaría esta identidad digital para acceder a un periódico digital, a una tienda electrónica y a una red social. Como es de esperarse, el primer beneficio que tendría este usuario sería que solo tendría que recordar una clave, si este fuera su mecanismo de autenticación elegido. Pero no sería el único. De hecho, al separar estos dos elementos (la identificación y los servicios digitales), es posible que este usuario pueda elegir exactamente qué información comparte con cada uno de los servicios digitales (el periódico, la tienda, la red social), y dado el caso, que se utilicen mecanismos específicos que protejan su privacidad en cada caso.
Una solución que se propuso a inicios de la década pasada en la Unión Europea fue el proyecto FutureID, mediante el cual se planteó una solución para permitir gestionar la identidad digital en un contexto continental, considerando características como la escalabilidad, la privacidad y la seguridad [EUR2015]. En esta solución, como se mencionó antes, se separa el rol de lo que se llama el proveedor de identidad, y el proveedor de servicio digital. El primero es capaz de establecer la identidad de un usuario, para lo cual puede usar todo tipo de credenciales, desde las credenciales oficiales que ofrece el estado, hasta aquellas que genere un ente privado. El segundo es el que le ofrece un servicio digital al usuario, como la tienda electrónica o el periódico digital mencionados antes. La infraestructura planteada funciona como un intermediario que permite conectar a muchos proveedores de identidad con muchos servicios digitales, simplificando el proceso de acceso para el usuario.
Pero adicionalmente, el proceso de intermediación ofrece mas valor al usuario, pues le permite controlar qué credenciales quiere compartir, le permite elegir entre un proveedor de identidad que garantiza cierto nivel de servicio, e incluso tener un mejor conocimiento de la manera en que comparte sus datos, pues estos pueden ser compartidos luego de ser procesados para proteger su privacidad. Adicionalmente, la capacidad de interconectar diferentes proveedores de identidad es consistente con el ambiente digital, donde un usuario no está limitado por las fronteras geográficas. Finalmente, es también muy importante si se tiene en cuenta que el uso de credenciales de identificación está asociado al nivel de riesgo de la transacción, posiblemente a una regulación sectorial, y en la mayoría de los casos a unas leyes de protección de datos de orden nacional. Por lo tanto, gracias a la interoperabilidad que ofrece esta solución es posible que un usuario tenga acceso a mayor flexibilidad en el proceso de identificación.
Identidad auto-soberana
La identidad auto-soberana hace referencia a un modelo en el que “el usuario es el administrador central de su identidad”, y se diferencia de otros modelos de identidad en que “no requiere de un tercero que gestione la identidad de los usuarios” [IDB2020]. Como se mencionó anteriormente, el objetivo de este tipo de esquemas es permitir que una identidad pueda ser utilizada en diferentes contextos, y por lo tanto los esfuerzos para establecer modelos de identidad auto-soberana congregan varias instituciones. Una de estas iniciativas es el de la Sovrin Foundation [SOV2020].
La solución propuesta por la Sovrin Foundation busca garantizar que un usuario pueda controlar la información que comparte, y al mismo tiempo garantizar el proceso de autenticación para cualquier servicio digital. En este modelo el dueño de las credenciales es el usuario, y este decide presentárselas al servicio digital bajo sus propias condiciones. Posteriormente el servicio digital puede validar estas credenciales sin necesidad de acudir directamente al emisor de las credenciales.
Para poder realizar este proceso es necesario primero estandarizar las credenciales, para simplificar el proceso mediante el cual se intercambian los atributos de la identidad que un usuario elige compartir. Estos identificadores han sido establecidos por el World Wide Web Consortium. Por otro lado, es necesario garantizar que las credenciales presentadas han sido emitidas por alguien en quien el servicio digital confía, y además que no han sido modificadas por el usuario. Esto se soluciona por medio de un sistema de firma digital, mediante el cual se ofrecen los servicios de autenticación, integridad y no repudio. Adicionalmente, con el objetivo de distribuir las claves públicas que permiten verificar la firma digital, se reemplaza la infraestructura de clave pública tradicional de internet con un sistema de blockchain. Cada vez que se emite una credencial, la transacción queda registrada en el sistema de blockchain, para que cualquiera que reciba las credenciales pueda comprobar su validez. Es decir, no son las credenciales las que quedan guardadas en el blockchain, sino información sobre la credencial que permite verificar su validez. Por lo tanto las credenciales permanecen en control del usuario, dueño de su información. Adicionalmente, la validez de esa credencial puede ser revocada por medio de un nuevo elemento en el blockchain, lo cual simplifica el proceso para la entidad generadora de certificados. Un elemento relevante de este sistema es que permite realizar lo que se conoce como prueba de conocimiento cero o “zero-knowledge proof”. Por medio de esta, un usuario puede acceder presentando únicamente los elementos que sean relevantes para la transacción, así las credenciales originales tengan más información de la necesaria. Por lo tanto, en este caso el interés del atacante se redirige al usuario final y al sistema de blockchain en lugar de la institución que genera las credenciales [AD2020].
Si bien esta iniciativa cuenta con el respaldo de varias instituciones, está aún en proceso de madurar por la relación entre la tecnología subyacente y el modelo económico que permita su sostenimiento.
Conclusiones
El uso de la identidad digital sigue presentando retos que no solo presentan inconveniencias para el usuario, sino que limitan el desarrollo del ecosistema digital. Los modelos de identidad distribuida han ido evolucionando buscando mejorar la escalabilidad, la seguridad o la privacidad. En este documento comentamos algunas características técnicas de algunas soluciones de identidad distribuida.
Diego Pacheco-Páramo
Bibliografía
[EUB2019] Blockchain and digital identity. A thematic report prepared by the European Union Blockchain Observatory and Forum. 2019
[RID2020] Privacidad y navegación por internet. D. Pacheco-Paramo. 2020. https://reconoserid.com/privacidad-y-navegacion-por-internet/
[EUR2015] FutureID. 2015. https://cordis.europa.eu/project/id/318424
[IDB2020] Self-Sovereign Identity. The future of Identity : Self-Sovereignity, Digital Wallets, and Blokchain. Banco Interamericano de Desarrollo. 2020
[SOV2020] The Sovrin Foundation. 2018. https://sovrin.org/
[AD2020] Hacking Sovereign Identity. A. Délèze . Master Project. EPFL. 2020. https://sovrin.org/